Comment éviter le ransomware?

Le ransomware (rançongiciel) est un malware (maliciel) qui crypte vos fichiers et exige une certaine somme (aujourd’hui souvent en Bitcoins) pour que vous puissiez de nouveau y avoir accès. Heureusement, il existe un certain nombre d’étapes que l’utilisateur ou l’entreprise peut effectuer pour limiter ce risque.

L’article de ce blog est subdivisé en deux volets: l’un pour les utilisateurs domestiques et l’autre pour les entreprises. La plupart des conseils sont toutefois aussi interchangeables et peuvent être appliqués à discrétion. A la fin, vous trouverez également quelques outils et ressources supplémentaires.

Utilisateurs domestiques

Indépendamment du client mail, utilisez un filtre anti-spam valable. Chez quasiment tous les services en ligne (p. ex. Outlook.com, Gmail,…), il est déjà proposé par défaut.
N’ouvrez jamais une une pièce jointe d’un expéditeur inconnu.
Bloquez l’exécution des macros de votre suite Office.
Désactivez Windows Script Host. Utilisez pour ce faire par exemple l’option D de mon outil.
Désactivez PowerShell. C’est possible via Ecran de configuration > Programmes >
Activez ou désactivez Composants Windows.
Utilisez un anti-virus/anti-malware et une solution pare-feu valables et actualisez-les.
Supprimez toutes les anciennes versions de Java ou entièrement Java si possible.
Supprimez SilverLight si possible.
Installez déjà toutes les mises à jour Windows importantes.
Activez ‘click-to-play’ pour Flash dans votre navigateur. Cela dépend de votre navigateur proprement dit.
Installez NoScript ou l’élément correspondant dans votre navigateur.
Installez un bloqueur de pub dans votre navigateur, par exemple uBlock Origin.
Il y a aussi un programme freeware disponible, qui peut paramétrer automatiquement pas mal de choses pour vous (comme des emplacements connus que le ransomware va contrôler) et qui s’appelle CryptoPrevent.

Last but not least, deux points essentiels:

Réfléchissez toujours à deux fois avant de cliquer sur/d’ouvrir un lien ou une pièce jointe.
Effectuez régulièrement des sauvegardes (backups)! N’oubliez pas de déconnecter votre disque dur externe après la sauvegarde. Soyez aussi prudent avec les backups dans le nuage – une fois que vous constatez une infection, interrompez aussitôt la connexion réseau et/ou déconnectez l’appareil pour limiter les dégâts.
Contrôlez aussi si le backup est réussi et restaurez quelques fichiers (test). Un backup est toujours la meilleure option pour restaurer des fichiers, mais vous devez aussi examiner s’il est réussi.

Entreprises

Nombre des conseils ci-dessus s’appliquent aussi dans les entreprises. La plupart d’entre eux sont également parfaitement applicables via Group Policies (GPO).

Quelques compléments:

Utilisez toujours de solides mots de passe pour vos serveurs (quel que soit le contrôleur de domaine, le serveur de fichiers, etc.).

Désactivez si possible l’accès à RDP. Si ce n’est pas possible, utiliser une solution pare-feu (firewall) valable (de type matériel) avec VPN. Utilisez ici également de solides mots de passe/authentification.
Désactivez les droits d’administrateur pour les utilisateurs ordinaires. La plupart des utilisateurs ayant un ordinateur portable d’entreprise ne devraient en théorie pas installer de programmes, etc.
Désactivez si possible via GPO l’utilisation des macros dans Office (ou n’autorisez que les macros à signature numérique), désactivez Windows Script Host et rendez obligatoire l’utilisation d’un antivirus.
Installez aussi un antivirus sur tous les appareils du réseau, surtout pour les utilisateurs autorisés à emmener leur appareil chez eux.
Si elle existe, activez l’option de scannage des fichiers archivés par l’antivirus.
Installez une solide solution anti-spam et interdisez l’utilisation de pièces jointes avec des extensions dangereuses (.exe, .scr,…), et bloquez également les fichiers JavaScript (.js).
Vérifiez les permissions de partage de fichiers de vos utilisateurs. Soyez ici aussi efficient que possible. Un utilisateur du groupe X n’a rien à voir avec le partage du groupe Y. Limitez l’accès (utilisez par exemple des ACL).
Informez les utilisateurs des dangers de l’ouverture de pièces jointes d’un expéditeur inconnu ou de cliquer sans réfléchir sur un lien dans un mail inconnu. Prévoyez aussi un plan d’action au cas où une infection par un maliciel se manifesterait (ransomware ou autre).
Utilisez des ‘policies’ pour interdire les fichiers EXE au départ de certains emplacements. Lien.

Last but not least, deux points essentiels:

‘Failing to prepare is preparing for failure’. La prévention est plus importante que la désinfection.
Effectuez régulièrement des sauvegardes (backups)! N’oubliez pas de déconnecter votre disque dur externe après le backup. Soyez aussi prudent avec les backups dans le nuage – une fois que vous constatez une infection, interrompez aussitôt la connexion réseau et/ou déconnectez l’appareil pour limiter les dégâts.
Contrôlez aussi si le backup est réussi et restaurez quelques fichiers (de test). Un backup est toujours la meilleure option pour restaurer des fichiers, mais vous devez aussi examiner s’il est réussi.

Outils

Navigateur:

N’utilisez de préférence pas Internet Explorer ou Edge – les autres navigateurs sont en effet plus personnalisables, ce qui signifie que vous pouvez paramétrer une protection supplémentaire avec un ‘add-on’ (extension). N’oubliez surtout pas d’actualiser ces extensions.

Activez click-to-play for plugins (tels Flash ou Silverlight)

uBlock Origin (Chrome)

uBlock Origin (Firefox)

NoScript

Bloquez l’exécution de scripts:

Remediate VBS Worm

Script Defender

CryptoPrevent Malware Prevention:

https://www.foolishit.com/cryptoprevent-malware-prevention/

Java:

Pourquoi dois-je supprimer les anciennes versions de Java de mon ordinateur?

Pour désactiver PowerShell: